網頁掛馬是指在未經用戶許可的情況下,在訪問某個網站時,將木馬程序下載并執行的一種網絡攻擊手段。
工作原理
網頁掛馬的工作原理是通過將木馬程序嵌入到網頁中,當用戶訪問該網頁時,木馬程序會在用戶不知情的情況下自動下載并執行,從而實現對用戶計算機的遠程控制和攻擊。
常見方式
常見的網頁掛馬方式包括:
1. 將木馬偽裝為頁面元素,使其被瀏覽器自動下載到本地。
2. 利用腳本運行的漏洞下載木馬。
3. 釋放隱含在網頁腳本中的木馬。
4. 將木馬偽裝為缺失的組件,或將其與缺失的組件捆綁在一起,以便在下載后由瀏覽器自動執行。
5. 調用某些COM組件,利用其漏洞下載木馬。
6. 利用頁面元素渲染過程中的格式溢出釋放木馬。
7. 利用頁面元素渲染過程中的格式溢出下載木馬。
執行方式
網頁掛馬的執行方式多種多樣,其中包括:
1. 利用頁面元素渲染過程中的格式溢出執行Shellcode,進而執行下載的木馬。
2. 利用腳本運行的漏洞執行木馬。
3. 偽裝成缺失組件的安裝包被瀏覽器自動執行。
4. 通過腳本調用組件對象模型組件,利用其漏洞執行木馬。
5. 利用頁面元素渲染過程中的格式溢出直接執行木馬。
6. 利用COM組件與外部其他程序通訊,通過其他程序啟動木馬。
避免檢測
為了避免被殺毒軟件檢測到,一些網頁掛馬還會采取以下措施:
1. 修改系統時間,使殺毒軟件失效。
2. 摘除殺毒軟件的HOOK掛鉤,使殺毒軟件檢測失效。
3. 修改殺毒軟件病毒庫,使之無法檢測到惡意代碼。
4. 通過溢出漏洞不直接執行惡意代碼,而是執行一段調用腳本,以躲避殺毒軟件對父進程的檢測。
檢測方式
網頁掛馬的檢測方式主要包括:
1. 特征匹配,即將網頁掛馬的腳本按照腳本病毒的方式進行檢測。
2. 主動防御,即在瀏覽器執行某些操作時發出警告,例如下載插件安裝包時提醒用戶是否運行。
3. 檢查父進程是否為瀏覽器,但這可能會導致誤報。
預防措施
預防網頁掛馬的措施包括:
1. 對于提供上傳附件功能的網站,應進行身份驗證,并限制上傳權限。
2. 定期更新所使用的程序。
3. 不要在前端網頁上添加后臺管理程序登錄頁面的鏈接。
4. 定期備份重要的數據庫和其他文件,并避免將備份文件存放在默認的備份目錄中。
5. 設置復雜的管理員用戶名和密碼。
6. 在Internet信息服務中禁用目錄的寫入和執行功能,這有助于防止ASP木馬。
7. 在服務器或虛擬主機控制面板中,取消有上傳權限的目錄的ASP運行權限。
8. 創建一個robots.txt文件并上傳到網站根目錄,以防范利用搜索引擎竊取信息的攻擊。
處理建議
如果發現網頁被掛馬,應及時尋求專業安全人員的幫助,以避免因網頁掛馬而帶來的潛在危害。
參考資料 >
記一次站點被掛馬問的神奇經歷.知乎專欄.2024-11-04
什么是網頁掛馬?.什么是網頁掛馬?.2024-11-04
網頁掛馬.江門市人民政府.2024-11-04